Entendiendo la amenaza interna antes de la fuga
El año 2020 aceleró los proyectos de transformación digital de muchas organizaciones. La adopción de la nube y el acceso remoto se aceleraron, así como también las cantidades masivas de empleados que comenzaron a trabajar desde casa por períodos prolongados. Muchas organizaciones recurrieron a sistemas de prevención contra la pérdida de datos (DLP) para protegerlos. Pero eso es solo una parte de la ecuación; una implementación de DLP moderna también debe entender la actividad a nivel del usuario. En ese sentido, no todas las soluciones de DLP son iguales.
Risk-Adaptive Data Protection: The Behavior-Based Approach
Dos ejemplos recientes de amenaza interna muestran cómo la información incorrecta puede provocar malas decisiones. En uno, una científica de datos que solía hacer el seguimiento de casos de COVID-19 para Florida fue acusada recientemente de supuesto hacking al sistema de alerta de emergencia del estado para enviar un mensaje disruptivo cinco meses después de que la despidieran.
En el otro, despidieron a decenas de empleados de la oficina de correos en Reino Unido por supuesto robo. Cada lado mantuvo su alegato de inocencia mientras acusaban al sistema de presentar errores. Ambos casos nos recuerdan la importancia del contexto. Un sistema de prevención contra la pérdida de datos (DLP) que entendiera el contexto detrás de las interacciones de las personas con los datos podría haber validado los problemas de seguridad o incluso exonerado a los empleados.
La DLP tradicional no entiende el contexto detrás de las acciones de las personas. Las soluciones de seguridad en ocasiones tienen una mala reputación por ser demasiado restrictivas o, del otro extremo del espectro, no ser eficaces. Los ejemplos anteriores muestran que existe la necesidad de un sistema basado en el comportamiento que automáticamente pueda marcar o permitir actividades de los usuarios basándose en el nivel de riesgo. Permítame explicarle una situación potencial:
¿Qué sucede si una empleada copia decenas de miles de archivos en una unidad USB o una plataforma para compartir archivos en la nube? ¿Lo hizo como parte de su trabajo? ¿Cómo sabrían los administradores de TI y Seguridad la diferencia entre una actividad aprobada y una no aprobada? Una solución de DLP tradicional que no conoce la diferencia recurriría a bloquear por completo la actividad.
Esto no es una crítica de la DLP: es lo que la tecnología está diseñada para hacer, en especial porque la seguridad tradicional se basa en indicadores de compromiso (IoC). Pero ¿qué sucede si es parte de la rutina normal de su empleada mover con frecuencia grandes cantidades de datos a servicios externos en la nube para su análisis? Un sistema de DLP con análisis conductual inteligente reconocería este comportamiento como algo normal. Sin embargo, marcaría la actividad como riesgo potencial para que Seguridad tenga visibilidad de esto pero seguiría permitiéndole a la empleada hacer su trabajo.
Ahora volvamos a los ejemplos del mundo real para ver cómo podemos lograr que los equipos de seguridad sean más eficaces y eficientes con este concepto. En Florida, el sistema de seguridad debería haber revocado las credenciales en cuanto la empleada dejó su puesto. No obstante, si la cuenta estaba activa, como la de Reino Unido, un sistema de protección de datos basado en el comportamiento elevaría la visibilidad de la actividad riesgosa. Un sistema basado en indicadores de comportamiento (IoB) hubiera demostrado que la actividad del usuario era normal y esto hubiera validado las afirmaciones de la empleada de que no hizo nada malo. Si sus acciones se consideraran ilegales o de alto riesgo, el sistema automáticamente bloquearía el acceso y alertaría al equipo de Seguridad.
El primer paso para desarrollar un enfoque basado en el comportamiento: crear un perfil de actividad normal como punto de referencia para que los indicadores de comportamiento puedan analizar las interacciones de los usuarios con los datos y las aplicaciones. Este enfoque permite a las organizaciones evaluar constantemente el riesgo para que los equipos de seguridad puedan observar o bloquear fugas de datos potenciales antes de que ocurran. Los IoB aportan visibilidad a compromisos potenciales con un contexto mucho más valioso y necesario.
Este contexto en torno al comportamiento brinda una perspectiva de las actividades que plantean riesgos para los empleados, los datos críticos y la organización en general. Pero, ¿cómo pueden las organizaciones escalar el monitoreo en tiempo real en forma continua? Aquí es donde entra en juego la automatización. Nuestra solución automatiza el proceso para permitir que las acciones normales que ayuden a la productividad puedan continuar realizándose. También puede marcar acciones cuestionables, y responder proactivamente a riesgos potenciales sin necesitar la intervención de Operaciones de Seguridad (SecOps). Por eso son tan importantes los IoB. Para Forcepoint, son la base de lo que llamamos protección de datos adaptable al riesgo. Representa la mejor DLP empresarial de su categoría, dotada con análisis del comportamiento, suministrada como servicio o en las instalaciones.
Esta es una descripción general de cómo funciona nuestro enfoque de protección de datos adaptable al riesgo, que brinda nuestro CTO de Gobiernos Globales, Petko Stoyanov:
Entender los IoB y el contexto de situaciones como éstas es un importantísimo motivo por el cual la ciberseguridad basada en el comportamiento es una vasta mejora sobre los métodos de protección de datos tradicionales. Para conocer más, lea nuestro nuevo ebook sobre protección de datos adaptable al riesgo. Explica cómo el análisis del comportamiento puede ayudar a marcar comportamientos riesgosos que son señales digitales de fugas de datos potenciales.
